HOME 情報セキュリティ情報セキュリティ対策ウイルス対策W32/Soberウイルスの亜種に関する情報

W32/Soberウイルスの亜種に関する情報

最終更新日：2005年11月24日
更新履歴

2005年11月24日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

このウイルスは、メールの添付ファイルを介して感染を拡大します。下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。
なお、このウイルスは11月22日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーの Web サイトを参照して、最新のウイルス定義ファイルに更新して下さい。

>> ワクチンソフトに関する情報

* 現在、 IPA で検知している W32/Sober 付きのメールの受信件数は、24日に入ってから急上昇しています。さらに、IPA への企業からのウイルス届出でも、23日以降に多くの検知報告がされています。ウイルス入りメールの増加による、企業のメールサーバーへの高負荷が懸念されます。

IPAにおけるW32/Soberウイルスの検知状況

影響を受けるシステム

Windows 95/98/Me/NT/2000/XP/Server 2003

概要

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。

感染すると、Windows ディレクトリに services.exe, csrss.exe, smss.exe をコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、メールの添付ファイルを開いたとき、メッセージを表示することがあります。

メール送信活動：

感染したコンピュータ内からメールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。

メールの件名、添付ファイル名は次のようになり、差出人アドレスは詐称されます。

件名：　以下のいずれかひとつ（ドイツ語バージョンもあります。）
- Your Password
- Registration Confirmation
- smtp mail failed
- Mail delivery failed
- hi, ive a new mail address
- You visit illegal websites
- Your IP was logged
- Paris Hilton & Nicole Richie
添付ファイル名：
- reg_pass.zip
- reg_pass-data.zip
- question_list.zip
- mail.zip
- mail_body.zip
- mailtext.zip
- list.zip
- email_text.zip

プロセスの停止：

以下のプロセスを停止します。これにより、セキュリティ関連製品や Sober の異なる亜種を停止することになります。

aswclnr
avwin.
brfix
fxsbr
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
microsoftanti
nod32.
nod32kui
s_t_i_n
sober
stinger

対応方法

添付ファイルを開くことなく、当該メールをそのまま削除して下さい

最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」して下さい。

修復方法

感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意してください。

また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して下さい。

修復ツール提供サイト

トレンドマイクロ：
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
マカフィー：
http://www.nai.com/japan/security/stinger.asp
シマンテック：
http://www.symantec.com/region/jp/avcenter/venc/data/
jp-w32.sober.removal.tool.html

参考情報

ワクチンソフトウェアベンダー提供の情報

アンラボ：
Win32/Sober.worm.55390: http://japan.ahnlab.com/virusinfo/view.asp?seq=1123
シマンテック：
W32.Sober.X@mm : http://www.symantec.com/region/jp/avcenter/venc/data/
jp-w32.sober.x@mm.html
ソフォス：
W32/Sober-Z : http://www.sophos.co.jp/virusinfo/analyses/w32soberz.html
トレンドマイクロ：
WORM_SOBER.AG : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_SOBER.AG
日本エフセキュア：
Sober.Y : http://www.f-secure.co.jp/v-descs/v-descs3/sober-y.htm
マカフィー：
W32/Sober@MM!M681 : http://www.mcafee.com/japan/security/
virS.asp?v=W32/Sober@MM!M681

ウイルス対策のトップページはこちらをご覧下さい。

更新履歴

2005年11月24日	掲載

ページトップへ